互联网公司IT审计主要关注点

目前国内大型互联网游戏公司绝大多数已经在美国上市，在美上市公司需要严格按照SOX法案执行，并且在SOX法案404条款关于内部控制的框架指导下实施内部审计和第三方外部审计。

我只做过在美上市公司的审计，并且是IT审计，IT审计是财务审计的延伸和支撑，就好比IT是服务于业务一样的道理。IT审计涉及的范围非常广，也很杂，在国际上有通用的审计方法和与此相关的资格认证，有兴趣的朋友可以了解一下。以下仅仅就题主关于“游戏公司的审计应该关注什么问题”简单谈一下：

先说明：就目前来看，除去内外审各自的特性，IT审计的内审和外审关注的点和测试方法大体一致，以下都是通用的。

首要要明白：如何确定审计范围，这也是回答审计应该关注什么的前提。

根据SOX404，首先要严格关注与财报相关的各个流程，以及与此流程相关的信息资产（包括数据、系统、人、物理安全等）。这是个大原则，一切审计活动都是以此为依据开展的。

然后再说游戏公司，根据游戏公司的特点，最应该关注游戏收入相关的流程和信息资产。

玩家从充值买点到最终在系统内实际消费购买虚拟物品，后台有关此流程数据传输、存储的整个过程，这个过程中涉及到的每个环节，包括应用系统、操作系统、数据库、程序、网络等相关都很重要，因为它们覆盖了整个数据流程，是财务做收入确认的依据并且最终体现在财报上。因此，公司内的IT部门以及IT内部控制的目标是：

保证系统、程序、数据的机密性、一致性、准确性、完整性和可用性来确保财务报告的准确性、完整性和及时性。

从IT审计的角度，我们需要通过以下几个点来做基于风险的IT审计，下面是我之前给别人培训时使用的PPT截图：

1、SOX404 IT内部控制及对财务报表的影响

2、ITGC（IT General Control，IT总体控制）（此部分为IT审计通用关注点）

（1）系统开发：按照系统开发生命周期进行管理和审计

（2）系统变更：对变更流程的控制

（3）系统运维：

-1、数据备份与恢复

-2、故障处理

-3、系统日志和权限例行检查

-4、数据库服务器日志和权限例行检查

-5、应用日志和权限例行检查

-6、批次作业记录

-7、服务器硬件维护/机房管理

……

（4）安全管理：

1、权限、账号管理（申请、变更、删除）

2、网络、服务器安全漏洞扫描

3、安全日志检查

4、配置管理

5、Token管理（申请、变更、撤销）

......

3、ITAC（IT Application Control，IT应用控制）(此部分更侧重游戏行业的特色)

（1）游戏配平

（2）游戏计费：完成游戏计费流程的有效性的测试抽样。例：

-1、按照内审部抽取的游戏玩家充值样本，分别各个传输节点查找相应记录并截屏，以验证相应排重、批次作业部署正常，数据记录准确无误。

-2、游戏玩家人数（最高在线人数、付费用户数等）抽样统计。

-3、游戏开卡数据抽样统计。

-4、用户权限检查。

（3）新游戏上线对其计费（收入）相关测试（新游戏预测试）:方法同上（2）

大概如此，其中一个点都可以展开来说很多，就不赘述了，

重申一点：对于互联网游戏行业来讲，他们还是看重收入，所以IT审计多是围绕此展开的